Witaj na polskim forum poświęconym sadze Heroes
of Might and Magic. Zarejestruj lub zaloguj się:

Pamiętaj:
0 Użytkowników i 1 Gość przegląda ten wątek.
Strony: [1]    Do dołu Wyślij ten wątek Drukuj
Czyżby wirus? (Czytany 4812 razy)
Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« : 07 Grudnia 2012, 20:44:17 »
Witajcie.
Byłem na różnych forach, ale pomocy nie uzyskałem. Mam pewien problem. Od jakiegoś czasu 2 systemowe procesy zajmują strasznie dużo RAMU (explorer.exe i svchost.exe). Czy to może być wirus?


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #1 : 07 Grudnia 2012, 20:51:37 »
Witaj.
Możesz przesłać screen'a? Byłoby łatwiej osądzać o jakiej zasobożerności mówisz.


IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #2 : 07 Grudnia 2012, 20:59:11 »
http://obrazki.elektroda.pl/8680732500_1354898592_thumb.jpg
Moim zdaniem coś jest nie tak.


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #3 : 07 Grudnia 2012, 21:01:32 »
Na przyszły raz nie wstawiaj miniaturek :)
Robiłeś już jakieś logi?


IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #4 : 07 Grudnia 2012, 21:30:47 »
Tak, OTL i extras (ktoś na jakimś forum mi kazał). Wstawiam.
OTL: http://wklej.org/id/890530/
Extras: http://wklej.org/id/890532/


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #5 : 07 Grudnia 2012, 22:07:07 »
Do okna "Własne opcje skanowania/skrypt" wklej:
:OTL
SRV - [2012-12-03 09:30:02 | 000,206,352 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\serv32.dll -- (gltihnrn)
IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471
IE - HKU\S-1-5-21-725345543-1390067357-1417001333-1004\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = http://www.searchya.com/?q={searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCyC0E0C0AtCzzyDtA0E0D0EtB0CtN0D0Tzu0CtBtCyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=29063471
O4 - HKU\S-1-5-21-725345543-1390067357-1417001333-1004..\Run: [] File not found
O2 - BHO: (no name) - {6D4E34D2-9A38-592E-C194-07D091C176B6} - C:\WINDOWS\system32\serv32.dll ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Reg Error: Key error.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-11-19 13:18:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Extensions
[2012-11-19 13:18:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\searchplugins

:Commands
[emptytemp]

Kliknij "Wykonaj skrypt" i potwierdź restart.
Pokaż raport z usuwania i nowy log "Skanuj".


IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #6 : 08 Grudnia 2012, 10:24:37 »
Raport z usuwania: http://wklej.org/id/890936/
Nowy log: http://wklej.org/id/890940/

Teraz winlogon.exe zajmuje ok. 200 mb ramu a svchost.exe dalej tak samo. Explorer już powrócił do normalności.
Co mam teraz zrobić?


IP: Zapisane
Loczek
King Loczdorah

*

Punkty uznania(?): 23
Offline Offline

Płeć: Mężczyzna
Wiadomości: 1 843


It's Seriously Christmas

Zobacz profil
« Odpowiedz #7 : 08 Grudnia 2012, 10:27:43 »
Zrób Antivrem scan i powinno coś podleczyć, to samo Ccleaner który naprawi rejestr.


IP: Zapisane
Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #8 : 08 Grudnia 2012, 13:31:08 »
Antywirus nic nie wykrył. Użyłem Ccleanera, wyłapało jakieś błędy i naprawiło je. Dzięki :)

edit: Problem wciąż pozostał. Jakieś sugestie?


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #9 : 08 Grudnia 2012, 14:27:46 »
Uważaj z rejestrem! Wiele programów "czyści" rejestr. Dosłownie. Tzn. przy okazji usuwania zbędnych wpisów często modyfikują/całkowicie usuwają niektóre b. ważne. Powód? Przewrażliwienie twórców algorytmów lub zwyczajne "wynaturzenia" platformy. Akurat Ccleaner jest znanym i zaufanym programem, więc zapewne nic złego się nie stało, ale mimo wszystko należy do takich programów podchodzić ze zdroworozsądkowym dystansem.
Anyway, nie należy ich używać podczas infekcji.
Dla pewności utwórz punkt przywracania (Wszystkie programy--> Akcesoria--> Narzędzia systemowe--> Przywracanie systemu--> Utwórz punkt).

Następnie pobierz i uruchom The Avenger.
Do okna programu wklej:
Drivers to delete:
gltihnrn

Files to delete:
C:\WINDOWS\system32\serv32.dll

Kliknij "Execute" i potwierdź restart systemu.
Pokaż nowe logi (z usuwania i OTL).


« Ostatnia zmiana: 08 Grudnia 2012, 14:35:29 wysłane przez Revold » IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #10 : 08 Grudnia 2012, 15:46:28 »
Ok będę pamiętał ;)
Link z usuwania: http://www.wklej.org/id/891196/
Link z OTL: http://wklej.org/id/891200/
Coś jeszcze jest do zrobienia?


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #11 : 08 Grudnia 2012, 19:09:58 »
Ccleaner nie narobił szkód. Logi czyste. Malware usunięty. Usuńmy jeszcze pozostałości szkodliwego kodu, które pozostały w rejestrze.
W OTL'u, do okna "Własne opcje skanowania/skrypt" wklej:
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

Kliknij "Wykonaj skrypt" i potwierdź restart.
Następnie uruchom ponownie OTL i kliknij "Sprzątanie".
Wyłącz i ponownie włącz przywracanie systemu w celu upewnienia się, że złośliwy kod nie zostanie odtworzony.
Potem uruchom SecurityCheck w trybie administratorskim. Po zakończeniu działania, program utworzy plik checkup.txt. Otwórz go, a następnie zaktualizuj programy oznaczone jako "out of date!". Pozwoli to na uniknięcie zakażenia w przyszłości.
Na sam koniec przeskanuj dysk programem Malwarebytes Anti-Malware (po zakończeniu instalacji usuń zaznaczenie przy "Uruchom okres testowy Malwarebytes Anti-Malware PRO").
Napisz czy coś wykrył i czy problem ustąpił.


IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #12 : 09 Grudnia 2012, 20:53:23 »
Problem ustąpił a ten antywirus który mi poleciłeś nic nie wykrył. Dzięki ci bardzo Revold za pomoc :D Mam jeszcze jedno pytanie. Co to był za wirus?


IP: Zapisane
Revold
Main Programmer

**

Punkty uznania(?): 6
Offline Offline

Płeć: Mężczyzna
Wiadomości: 162


One of The Indoctrination Theory's founder

Zobacz profil
« Odpowiedz #13 : 09 Grudnia 2012, 21:37:41 »
http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=364413
To był trojan. Ale niegroźny ;]
Stworzony najprawdopodobniej w Brazylii i tam głównie został rozpowszechniony.
Zwiększa zużycie RAM-u procesów, pod które się podepnie. Z drugiej strony, dzięki temu można go łatwo zdiagnozować ^^
Cieszę się, że mogłem pomóc ;]

Pozdrawiam.
Rev


IP: Zapisane
Piszę poprawnie po polsku

Pomogłem w temacie? Chcesz się odwdzięczyć? Przyznaj punkt uznania! Link

Disconnected



Punkty uznania(?): 0
Offline Offline

Płeć: Mężczyzna
Wiadomości: 0

Zobacz profil
« Odpowiedz #14 : 09 Grudnia 2012, 23:50:40 »
Dzięki zainformacje. I za pomoc raz jeszcze. Już wszystko wiem. Temat do zamknięcia.


IP: Zapisane
Strony: [1]    Do góry Wyślij ten wątek Drukuj 
 





© 2003 - 2024 Tawerna.biz - Wszelkie prawa zastrzeżone.
Kopiowanie i publikowanie jakichkolwiek elementów znajdujących się w obrębie serwisu bez zgody autorów jest zabronione!
Heroes of Might and Magic i powiązane z nimi loga są zastrzeżonymi znakami handlowymi firmy Ubisoft Entertainment.
Grafiki i inne materiały pochodzące z serii gier Might & Magic są wyłączną własnością ich twórców i zostały użyte wyłącznie w celach informacyjnych.
Powered by SMF 2.0 RC1.2 | SMF © 2006–2009, Simple Machines LLC | Theme by jareQ
Strona wygenerowana w 0.033 sekund z 22 zapytaniami.
                              Do góry